KR102354094B1 - Method and Apparatus for Security Management Based on Machine Learning - Google Patents

Method and Apparatus for Security Management Based on Machine Learning Download PDF

Info

Publication number
KR102354094B1
KR102354094B1 KR1020190130099A KR20190130099A KR102354094B1 KR 102354094 B1 KR102354094 B1 KR 102354094B1 KR 1020190130099 A KR1020190130099 A KR 1020190130099A KR 20190130099 A KR20190130099 A KR 20190130099A KR 102354094 B1 KR102354094 B1 KR 102354094B1
Authority
KR
South Korea
Prior art keywords
reliability
security control
control device
inference
event
Prior art date
Application number
KR1020190130099A
Other languages
Korean (ko)
Other versions
KR20210046423A (en
Inventor
이상재
Original Assignee
에스케이텔레콤 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이텔레콤 주식회사 filed Critical 에스케이텔레콤 주식회사
Priority to KR1020190130099A priority Critical patent/KR102354094B1/en
Publication of KR20210046423A publication Critical patent/KR20210046423A/en
Application granted granted Critical
Publication of KR102354094B1 publication Critical patent/KR102354094B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Mathematical Physics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

탐지된 사이버 보안위협에 대한 머신러닝 기반의 보안관제 장치 및 방법을 개시한다.
본 실시예는, 기존의 보안솔루션(security solutions) 및 탐지 장비(detection equipments)가 제공하는 보안위협(security threat) 탐지 이벤트(detection events)에 대하여 머신러닝(machine learning) 기반 추론 모델을 이용하여 탐지 이벤트에 대한 대응 방안을 자동으로 추론하는 것이 가능한 보안관제 장치 및 방법을 제공하는 데 목적이 있다.Disclosed is a machine learning-based security control device and method for detected cybersecurity threats.
This embodiment uses a machine learning-based inference model for security threat detection events provided by existing security solutions and detection equipments. An object of the present invention is to provide a security control device and method capable of automatically inferring a response plan for a detection event.

Figure R1020190130099
Figure R1020190130099

Description

머신러닝 기반 보안관제 장치 및 방법{Method and Apparatus for Security Management Based on Machine Learning}Machine learning-based security control device and method {Method and Apparatus for Security Management Based on Machine Learning}

본 발명은 탐지된 사이버 보안위협 이벤트에 대한 머신러닝 기반의 자동화된 보안관제 장치 및 방법에 관한 것이다.The present invention relates to a machine learning-based automated security control apparatus and method for a detected cybersecurity threat event.

이하에 기술되는 내용은 단순히 본 발명과 관련되는 배경 정보만을 제공할 뿐 종래기술을 구성하는 것이 아니다. The content described below merely provides background information related to the present invention and does not constitute the prior art.

클라우드(cloud), IoT(Internet of Things), 모바일 등 신규 IT 서비스 환경의 확대 때문에 전체적인 IT(Information Technology) 자산 (resources)이 급증하고 있다. 반면, IT 자산의 인프라(infra), 망(network), DB(Database) 등을 대상으로 사이버 보안위협(cyber security threat)이 급증하고 있다. 또한 기존 유형의 위협 발생에 더하여 신규 유형의 사이버 보안위협이 누적되어 발생하고 있다. 따라서, 보안관제(security management) 전문가의 수작업만으로 사이버 보안위협의 총량에 대응하는 것이 점차 어려워지고 있다. Due to the expansion of new IT service environments such as cloud, Internet of Things (IoT), and mobile, overall information technology (IT) resources are rapidly increasing. On the other hand, cyber security threats are rapidly increasing for IT asset infrastructure, network, database, and the like. In addition to the occurrence of existing types of threats, new types of cybersecurity threats are accumulating. Therefore, it is becoming increasingly difficult to respond to the total amount of cyber security threats only with the manual work of a security management expert.

한편, 악의적인 의도를 가진 해커(hackers), 크래커(crackers) 등의 사이버 공격자(cyber attackers)는 자동화 기술을 사용하거나, 대립적 학습(adversarial learning)을 기반으로 정규 사용자 행위를 모방하여 보안솔루션(security solutions) 및 탐지 장비(detection equipments)를 우회하려는 시도를 지속하고 있다. 이러한 공격자의 동향을 반영하여, 지능형 기술을 사용하여 증가하는 사이버 위협 시도에 대한 탐지 자동화 및 탐지 범위의 증대를 지속적으로 추진하고 있다. 그러나, 보안 솔루션 및 탐지장비의 기술적 진보는 다양한 위협을 보다 효율적으로 탐지하게 해 주지만, 과다 탐지(over-detection)와 오탐지(erroneous detection)의 증가라는 부작용을 보이는 것도 현실이다. On the other hand, cyber attackers, such as hackers and crackers with malicious intent, use automation technology or imitate regular user behavior based on adversarial learning to create security solutions (security solutions). solutions) and detection equipments. Reflecting this trend of attackers, the use of intelligent technology is continuously pushing for increased detection automation and detection range for the increasing number of cyber threat attempts. However, although technological advances in security solutions and detection equipment enable more efficient detection of various threats, it is also a reality that shows side effects such as an increase in over-detection and erroneous detection.

과다탐지 및 오탐지의 증가는 위협 탐지에 최종 대응하는 사이버 보안관제 및 모니터링 서비스에 악영향을 주고 있다. 탐지된 보안위협을 분석하는 최종 대응 과정은 일차적으로 숙련되고 경험 많은 보안관제 전문가의 수작업 분석을 요구한다. 자동화된 공격에 대한 보안솔루션의 탐지 이벤트 중에, 극히 소수만이 유효한 사이버 위협이고 나머지는 유효하지 않은 이벤트이기 때문에, 수작업에 의존하는 보안관제와 모니터링 업무의 효율이 저하되고 있다. The increase in over-detection and false-detection has a negative impact on cyber security control and monitoring services that ultimately respond to threat detection. The final response process to analyze the detected security threat requires manual analysis by a skilled and experienced security control expert. Among the detection events of security solutions for automated attacks, only a very small number of effective cyber threats and the rest are invalid events, so the efficiency of manual security control and monitoring tasks is lowering.

수작업에 따른 문제점에 대한 방안으로, 유효하지 않은 보안위협 탐지 이벤트를 사전에 제거하기 위해, 규칙(rule)에 의존하는 대응 기술이 고려될 수 있다. 그러나 규칙 기반 기술은 사전 제거 규칙의 생성 및 관리가 어렵기 때문에, 단순하거나 극히 자명한 데이터 제거에 한정되어 사용될 수 있을 뿐이므로, 유효하지 않은 이벤트의 사전 제거에 한계를 보인다. As a solution to the manual problem, in order to remove an invalid security threat detection event in advance, a response technique that relies on a rule may be considered. However, since the rule-based technology is difficult to create and manage a prior removal rule, it can be used only for simple or extremely obvious data removal, and thus has a limitation in prior removal of invalid events.

수작업에 따른 문제점을 해결하기 위한, 다른 종래의 기술로서, 탐지된 이벤트에 단순 통계 방식을 적용하는 기술이 존재한다(특허문헌 1 참조). 단순 통계 기반 기술에서는, 현재의 보안위협 탐지 이벤트에 대한 단순 통계치(예컨대 빈도수)를 추출하여 이전에 누적된 통계치와 비교함으로써, 탐지 이벤트의 위협 여부에 대한 최종 판단을 결정한다. 탐지된 이벤트에 대한 수작업을 일부 대치할 수 있으나, 단순 통계 기반 기술은 탐지 이벤트가 내포한 복잡성을 고려하기 어렵고, 이 기술의 적용으로 인해 또다른 오류를 파생할 수 있다. 또한, 최종 판단의 신뢰성 저하에 기인하여 수작업 검토가 추가되어야 한다는 단점이 존재한다.As another conventional technique for solving problems caused by manual work, there is a technique for applying a simple statistical method to a detected event (see Patent Document 1). In the simple statistics-based technology, a final judgment as to whether the detection event is a threat is determined by extracting simple statistics (eg, frequency) of the current security threat detection event and comparing it with previously accumulated statistics. Although manual work on detected events can be partially replaced, it is difficult for simple statistical-based techniques to take into account the complexity of detection events, and application of this technique may lead to another error. In addition, there is a disadvantage that manual review must be added due to a decrease in the reliability of the final judgment.

따라서, 보안위협에 대처하기 위해 탐지 이벤트에 대한 수작업의 부담을 최소화시킬 수 있는 자동 대응방법을 필요로 한다.Therefore, in order to cope with security threats, an automatic response method capable of minimizing the burden of manual work for detection events is required.

특허문헌 1: 대한민국 공개특허, 10-2018-0080449, "보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법 및 장치"Patent Document 1: Korean Patent Laid-Open Patent Publication, 10-2018-0080449, "Method and device for detecting cyber-intrusion threats through correlation analysis of security events"

본 개시는, 기존의 보안솔루션(security solutions) 및 탐지 장비(detection equipments)로부터 제공되는 보안위협(security threat) 탐지 이벤트(detection events)에 대하여 머신러닝(machine learning) 기반 추론 모델을 이용하여 탐지 이벤트에 대한 대응 방안을 자동으로 추론하는 것이 가능한 보안관제 장치 및 방법을 제공하는 데 주된 목적이 있다.The present disclosure uses a machine learning-based inference model for security threat detection events provided from existing security solutions and detection equipments. A main object of the present invention is to provide a security control device and method capable of automatically inferring a response plan for a detection event.

본 발명의 실시예에 따르면, 보안위협(security threat)에 대한 탐지 이벤트(detection events)를 획득하는 입력부; 상기 탐지 이벤트를 입력 데이터로 변환하는 인코딩부; 적어도 하나의 추론 모델(inference models)을 포함하는 추론 모델 그룹으로부터 하나의 추론 모델을 선택하고, 상기 입력 데이터를 선택된 추론 모델에 입력하여 상기 탐지 이벤트에 대한 대응 방안을 추론하는 대응추론부; 상기 대응 방안에 대한 예측 확률에 기초하여 상기 대응 방안의 신뢰도를 산정하는 신뢰도산정부: 및 상기 산정된 신뢰도에 의존하여 상기 대응 방안을 실행하는 대응실행부를 포함하는 것을 특징으로 하는 보안관제 장치를 제공한다. According to an embodiment of the present invention, an input unit for acquiring detection events for a security threat; an encoding unit converting the detection event into input data; a correspondence inference unit for selecting one inference model from a group of inference models including at least one inference model, and inputting the input data into the selected inference model to infer a corresponding method for the detection event; Provide a security control device comprising: a reliability calculation unit for calculating the reliability of the countermeasure based on the predicted probability of the countermeasure; and a response execution unit for executing the countermeasure depending on the calculated reliability do.

본 발명의 다른 실시예에 따르면, 보안관제 장치의 학습방법에 있어서, 보안위협(security threat)에 대한 탐지 이벤트(detection events) 및 라벨(labels)을 획득하는 과정; 상기 탐지 이벤트로부터 특징 데이터를 추출하고, 상기 특징 데이터를 구성하는 문자 또는 문자열을 수치화하여 입력 데이터로 변환하는 과정; 상기 입력 데이터에 배깅(bagging)을 적용하여 머신러닝(machine learning)에 기반하는 적어도 하나의 추론 모델(inference models)에 대한 앙상블(ensemble) 데이터를 생성하는 과정; 상기 앙상블 데이터를 상기 추론 모델 별로 적용하여 추론 결과를 생성하는 과정; 상기 추론 모델 별로 추론 결과에 대한 신뢰도를 산정하고, 상기 신뢰도를 누적하여 누적 신뢰도를 산정하는 과정; 및 상기 추론 결과 및 상기 라벨을 기반으로 상기 추론 모델 별로 파라미터를 업데이트하는 과정을 포함하는 것을 특징으로 하는, 컴퓨터 상에 구현되는 학습방법을 제공한다. According to another embodiment of the present invention, there is provided a learning method for a security control device, the method comprising: acquiring detection events and labels for a security threat; extracting feature data from the detection event and converting a character or character string constituting the feature data into input data; generating ensemble data for at least one inference model based on machine learning by applying bagging to the input data; generating an inference result by applying the ensemble data for each inference model; calculating the reliability of the inference result for each inference model, and accumulating the reliability to calculate the cumulative reliability; and updating parameters for each inference model based on the inference result and the label.

본 발명의 다른 실시예에 따르면, 보안관제 장치의 보안관제 방법에 있어서, 보안위협(security threat)에 대한 탐지 이벤트(detection events)를 획득하는 과정; 상기 탐지 이벤트로부터 특징 데이터를 추출하고, 상기 특징 데이터를 구성하는 문자 또는 문자열을 수치화하여 입력 데이터로 변환하는 과정; 사전에 트레이닝된 적어도 하나의 추론 모델(inference models)을 포함하는 추론 모델 그룹으로부터 하나의 추론 모델을 선택하고, 상기 입력 데이터를 선택된 추론 모델에 입력하여 상기 탐지 이벤트에 대한 대응 방안을 추론하는 과정; 및 상기 대응 방안에 대한 신뢰도를 산정하고, 상기 신뢰도에 의존하여 상기 대응 방안을 실행하는 과정을 포함하는 것을 특징으로 하는, 컴퓨터 상에 구현되는 보안관제 방법을 제공한다. According to another embodiment of the present invention, there is provided a security control method of a security control device, the method comprising: acquiring detection events for a security threat; extracting feature data from the detection event and converting a character or character string constituting the feature data into input data; selecting one inference model from a group of inference models including at least one pre-trained inference model, and inputting the input data into the selected inference model to infer a countermeasure for the detection event; and calculating the reliability of the countermeasure, and executing the countermeasure depending on the reliability.

본 발명의 다른 실시예에 따르면, 보안관제 장치의 학습방법이 포함하는 각 단계를 실행시키기 위하여 컴퓨터로 읽을 수 있는 기록매체에 저장된 컴퓨터프로그램을 제공한다.
본 발명의 다른 실시예에 따르면, 보안관제 장치의 보안관제 방법이 포함하는 각 단계를 실행시키기 위하여 컴퓨터로 읽을 수 있는 기록매체에 저장된 컴퓨터프로그램을 제공한다. According to another embodiment of the present invention, there is provided a computer program stored in a computer-readable recording medium in order to execute each step included in the learning method of the security control device.
According to another embodiment of the present invention, there is provided a computer program stored in a computer-readable recording medium in order to execute each step included in the security control method of the security control device.

이상에서 설명한 바와 같이 본 실시예에 따르면, 기존의 보안솔루션(security solutions) 및 탐지 장비(detection equipments)로부터 제공되는 보안위협 탐지 이벤트에 대하여 머신러닝(machine learning) 기반 추론 모델을 이용하여 탐지 이벤트에 대한 대응 방안을 자동으로 추론하는 것이 가능한 보안관제 장치 및 방법을 제공함으로써, 자동 분석 및 대응 방안에 대한 신뢰성을 향상시키고, 보안전문가의 수작업 분석 및 대응 과정을 최소화하는 것이 가능해지는 효과가 있다.As described above, according to this embodiment, the detection event is analyzed using a machine learning-based inference model for the security threat detection event provided from the existing security solutions and detection equipments. By providing a security control device and method capable of automatically inferring a countermeasure against a countermeasure, it is possible to improve the reliability of the automated analysis and countermeasure, and to minimize the manual analysis and response process of a security expert.

또한 본 실시예에 따르면, 머신러닝 기반의 자동화된 보안관제 장치 및 방법을 제공함으로써, 보안솔루션 및 탐지 장비의 기 탐지 이벤트에 대하여 과다 탐지(over-detection)와 오탐지(erroneous detection)를 사전에 판별하여 제거하는 것이 가능해지는 효과가 있다. In addition, according to the present embodiment, by providing an automated security control device and method based on machine learning, over-detection and erroneous detection are performed in advance with respect to a previously detected event of a security solution and detection equipment. There is an effect that it becomes possible to discriminate and remove it.

또한 본 실시예에 따르면, 머신러닝 기반의 자동화된 보안관제 장치 및 방법을 제공함으로써, 기존의 대응 결과의 오류를 보정하는 한편, 기존의 누적된 결과를 이용함에 있어서, 보안전문가 개개인의 역량차이에 기인하는 대응 방안의 수준 차에 따른 불확실성을 최소화하는 것이 가능해지는 효과가 있다. In addition, according to this embodiment, by providing an automated security control device and method based on machine learning, while correcting errors in the existing response results, in using the existing accumulated results, the differences in the capabilities of individual security experts There is an effect that it becomes possible to minimize the uncertainty due to the level difference of the resulting countermeasures.

도 1은 보안관제 전문가가 관여하는 종래의 보안관제 시스템에 대한 예시도이다.
도 2는 본 발명의 일 실시예에 따른 보안관제 장치에 대한 구성도이다.
도 3은 본 발명의 일 실시예에 따른 추론 모델 그룹의 학습에 대한 개념도이다.
도 4는 본 발명의 일 실시예에 따른 추론 모델의 학습에 대한 순서도이다.
도 5는 본 발명의 일 실시예에 따른 보안관제 방법에 대한 순서도이다.1 is an exemplary diagram of a conventional security control system in which a security control expert is involved.
2 is a block diagram of a security control device according to an embodiment of the present invention.
3 is a conceptual diagram for learning of an inference model group according to an embodiment of the present invention.
4 is a flowchart for training of an inference model according to an embodiment of the present invention.
5 is a flowchart of a security control method according to an embodiment of the present invention.

이하, 본 발명의 실시예들을 예시적인 도면을 참조하여 상세하게 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 실시예들을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 실시예들의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, embodiments of the present invention will be described in detail with reference to exemplary drawings. In adding reference numerals to the components of each drawing, it should be noted that the same components are given the same reference numerals as much as possible even though they are indicated on different drawings. In addition, in the description of the present embodiments, if it is determined that a detailed description of a related well-known configuration or function may obscure the gist of the present embodiments, the detailed description thereof will be omitted.

또한, 본 실시예들의 구성요소를 설명하는 데 있어서, 제 1, 제 2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성요소를 다른 구성요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성요소의 본질이나 차례 또는 순서 등이 한정되지 않는다. 명세서 전체에서, 어떤 부분이 어떤 구성요소를 '포함', '구비'한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 '…부', '모듈' 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.Also, in describing the components of the present embodiments, terms such as first, second, A, B, (a), (b), etc. may be used. These terms are only for distinguishing the elements from other elements, and the essence, order, or order of the elements are not limited by the terms. Throughout the specification, when a part 'includes' or 'includes' a certain element, this means that other elements may be further included, rather than excluding other elements, unless otherwise stated. . In addition, the '... Terms such as 'unit' and 'module' mean a unit that processes at least one function or operation, which may be implemented as hardware or software or a combination of hardware and software.

첨부된 도면과 함께 이하에 개시될 상세한 설명은 본 발명의 예시적인 실시형태를 설명하고자 하는 것이며, 본 발명이 실시될 수 있는 유일한 실시형태를 나타내고자 하는 것이 아니다.DETAILED DESCRIPTION The detailed description set forth below in conjunction with the appended drawings is intended to describe exemplary embodiments of the present invention and is not intended to represent the only embodiments in which the present invention may be practiced.

본 실시예는 탐지된 사이버 보안위협(security threat)에 대한 머신러닝 기반의 자동화된 보안관제 장치 및 방법에 대한 내용을 개시한다. 보다 자세하게는, 기존의 보안솔루션(security solutions) 및 탐지 장비(detection equipments)로부터 제공되는 보안위협 탐지 이벤트(detection events, 이하 탐지 이벤트)에 대하여 머신러닝(machine learning) 기반의 추론 모델을 이용하여 탐지 이벤트에 대한 대응 방안을 자동으로 추론하는 것이 가능한 보안관제 장치 및 방법을 제공한다.This embodiment discloses a machine learning-based automated security control apparatus and method for a detected cyber security threat. In more detail, detection events (detection events, hereinafter) provided from existing security solutions and detection equipments are detected using a machine learning-based inference model. A security control device and method capable of automatically inferring a response plan for an event are provided.

도 1은 보안관제 전문가가 관여하는 종래의 보안관제 시스템에 대한 예시도이다. 1 is an exemplary diagram of a conventional security control system in which a security control expert is involved.

종래의 보안관제 시스템(110)에 있어서, N(N은 자연수) 개의 보호 대상 그룹은 보안위협 탐지 이벤트를 제공하는 고객이다. 각 보호 대상 그룹에서 이벤트를 생성하는 주체로는 엔드포인트(end-point) 보안 장치, 네트워크 보안 장치, 침입탐지(IDS: Instruction Detection System 및 IPS: Instruction Prevention System), 웹방화벽(web firewall)을 포함하는 보안솔루션이 될 수 있다. 각 보안솔루션에 대한 기술은 본 발명의 범위를 벗어나므로 더 이상의 자세한 설명은 생략한다. In the conventional security control system 110, N (N is a natural number) protection target groups are customers who provide a security threat detection event. Subjects that generate events in each protected group include endpoint security devices, network security devices, intrusion detection systems (IDS: Instruction Detection System and IPS: Instruction Prevention System), and web firewalls. It can be a security solution that Since the description of each security solution is out of the scope of the present invention, further detailed description will be omitted.

각 보호 대상 그룹에서 생성된 탐지 이벤트는 수집, 해석 및 정제되어 대용량 빅데이터 분석 모듈(111)에 저장된다. The detection events generated in each protection target group are collected, interpreted, and refined, and then stored in the large-capacity big data analysis module 111 .

보안관제에 있어서, 필요 조건에 따른 검색, 통계, 시각화 방법 등을 이용하여 빅데이터 분석 모듈(111)에 저장된 이벤트가 우선적으로 분석된다. 다음 분석 결과를 기반으로 보안관제 전문가가 보안위협에 대한 수작업 분석을 실행하고, 영향도 파악, 대응 및 조치 결과를 위협 대응 이력 DB(112, Database)에 저장한다. 저장된 결과에 대한 통계 정리 후에, 최종 레포트가 작성되어 해당되는 고객 측으로 발송된다.In security control, the event stored in the big data analysis module 111 is preferentially analyzed using a search, statistics, visualization method, etc. according to necessary conditions. Based on the following analysis results, a security control expert performs manual analysis of security threats, and stores the impact level, response and action results in the threat response history DB (112, Database). After the statistical analysis of the stored results, a final report is prepared and sent to the relevant customer.

본 실시예에 따른 보안관제 장치(100)는, 전술한 바와 같은 탐지 이벤트에 대한 분석 및 보안관제 전문가의 수작업 분석을 대체 또는 보완하는 데 목적이 있다. The security control device 100 according to the present embodiment aims to replace or supplement the analysis of the detection event and the manual analysis of the security control expert as described above.

본 실시예에 따른 보안관제 장치(100)는 서버(미도시) 또는 서버에 준하는 연산 능력을 보유하는 프로그램가능 시스템에 탑재되는 것으로 가정한다. 서버는 복수의 보안솔루션(security solutions) 및 탐지 장비(detection equipments)로부터 유선 또는 무선 전송방식을 이용하여 탐지 이벤트를 획득하는 것으로 가정한다.It is assumed that the security control apparatus 100 according to the present embodiment is mounted on a server (not shown) or a programmable system having a computing capability equivalent to that of the server. It is assumed that the server acquires a detection event from a plurality of security solutions and detection equipments using a wired or wireless transmission method.

이하 도 2를 이용하여 본 실시예에 따른 보안관제 장치를 설명한다. 도 2는 본 발명의 일 실시예에 따른 보안관제 장치에 대한 구성도이다.Hereinafter, a security control device according to the present embodiment will be described with reference to FIG. 2 . 2 is a block diagram of a security control device according to an embodiment of the present invention.

본 발명의 실시예에 있어서, 보안관제 장치(100)는 획득된 탐지 이벤트에 대하여 머신러닝(machine learning) 기반 추론 모델(inference model)을 이용하여 탐지 이벤트에 대한 대응 방안을 자동으로 추론한다. 보안관제 장치(100)는 입력부(200), 규칙기반 필터부(210), 전처리 및 인코딩부(220), 대응추론부(230), 신뢰도산정부(240), 대응실행부(250) 및 리트레이닝부(260)의 전부 또는 일부를 포함한다. 여기서, 본 실시예에 따른 보안관제 장치(100)에 포함되는 구성요소가 반드시 이에 한정되는 것은 아니다. 예컨대, 보안관제 장치(100) 상에 추론 모델의 트레이닝을 위한 트레이닝부(미도시)를 추가로 구비할 수 있다.In an embodiment of the present invention, the security control device 100 uses a machine learning-based inference model for the acquired detection event. Automatically infer a response plan for a detection event. The security control device 100 includes an input unit 200, a rule-based filter unit 210, a pre-processing and encoding unit 220, a correspondence inference unit 230, a reliability calculation unit 240, a correspondence execution unit 250, and All or part of the training unit 260 is included. Here, the components included in the security control device 100 according to the present embodiment are not necessarily limited thereto. For example, a training unit (not shown) for training an inference model may be additionally provided on the security control device 100 .

도 2의 도시는 본 실시예에 따른 예시적인 구성이며, 전처리 및 인코딩 방법, 추론 모델의 구조 및 동작, 신뢰도의 이용 방법 등에 따라 다른 구성요소 또는 구성요소 간의 다른 연결을 포함하는 구현이 가능하다. The illustration of FIG. 2 is an exemplary configuration according to the present embodiment, and implementation including other components or other connections between components is possible according to a preprocessing and encoding method, a structure and operation of an inference model, a method of using reliability, and the like.

본 실시예에 따른 입력부(200)는 보안솔루션(security solutions) 및/또는 탐지 장비(detection equipments)로부터 탐지 이벤트를 획득한다. The input unit 200 according to the present embodiment acquires a detection event from security solutions and/or detection equipments.

본 실시예에 따른 규칙기반 필터부(210)는 탐지 이벤트에 대한 대응 방안을 추론하기 전에, 사전에 설정된 규칙을 기반으로 필터링(filtering)을 수행한다. 규칙기반 필터부(210)는 사전에 설정된 규칙을 저장하는 규칙 DB(211) 및 대응 방안을 저장하는 대응방안 DB(212)를 포함할 수 있다. The rule-based filter unit 210 according to the present embodiment performs filtering based on a preset rule before inferring a response method for a detection event. The rule-based filter unit 210 may include a rule DB 211 for storing pre-set rules and a response method DB 212 for storing a corresponding method.

규칙기반 필터부(210)는 규칙 DB(211)를 참조하여, 규칙 기반 필터링을 실행한다. 탐지 이벤트가 규칙에 부합하면, 규칙기반 필터부(210)는 대응방안 DB(212)를 참조하여, 탐지 이벤트에 대하여 사전 제거, 차단 또는 통보 등의 대응 방안을 실행한다. 예컨대, 블랙리스트(blacklist) IP(Internet Protocol) 주소와 같은 잘 알려진 공격 위치로부터 발생한 탐지 이벤트가 제거될 수 있다. 탐지 이벤트에 대한 대응이 실행된 경우, 보안관제 장치(100)는 탐지 이벤트에 대한 대응 방안의 추론(inference) 과정을 생략할 수 있다. The rule-based filter unit 210 refers to the rule DB 211 and executes rule-based filtering. When the detection event matches the rule, the rule-based filter unit 210 refers to the response plan DB 212 and executes a response plan such as prior removal, blocking, or notification for the detection event. For example, detection events originating from well-known attack locations such as blacklist Internet Protocol (IP) addresses may be removed. When the response to the detection event is executed, the security control device 100 may omit the inference process of the response method for the detection event.

본 실시예에 따른 전처리 및 인코딩부(220)는 탐지 이벤트에 대한 보안솔루션들 간의 편차를 보완하기 위한 전처리 과정을 실행하고, 머신러닝 기반 추론 모델에 적합한 형태의 입력 데이터를 생성하는 인코딩 과정을 실행한다. The pre-processing and encoding unit 220 according to the present embodiment executes a pre-processing process to compensate for deviations between security solutions for detection events, and executes an encoding process for generating input data in a form suitable for a machine learning-based inference model. do.

전처리 과정에서, 전처리 및 인코딩부(220)는 탐지 이벤트 내에서 공란(empty space)으로 획득된 부분을 채우고, 탐지 이벤트에 포함된 오차를 정정할 수 있다.In the preprocessing process, the preprocessing and encoding unit 220 may fill in an empty space in the detection event and correct an error included in the detection event.

인코딩 과정에서, 전처리 및 인코딩부(220)는 탐지 이벤트로부터 특징 데이터를 추출하고, 특징 데이터를 구성하는 문자 또는 문자열을 수치화하여 입력 데이터로 변환한다. In the encoding process, the pre-processing and encoding unit 220 extracts feature data from the detection event, digitizes characters or strings constituting the feature data, and converts them into input data.

탐지 이벤트로부터 추출될 수 있는 특징 데이터는 탐지룰(detection rule)의 탐지 식별 번호(detection ID number) 및 탐지룰 이름(detection rule name), 탐지 이벤트 발생 시간 관련 정보, 위협의 대상에 대한 정보, 탐지 기반이 되는 시그니처(signature), 탐지 장비의 유형, 탐지 장비 제작사, 탐지 결과에 대한 심각도 추정 정보, 위협의 출발지 정보(예컨대 출발지 국가 또는 출발지 IP 주소 등), 위협의 목적지 정보(예컨대 목적지 국가 또는 목적지 IP 주소 등), 위협이 사용하는 서비스 및 포트 정보, 위협이 사용하는 프로토콜, 망 정보 및 패킷 정보, 패킷 부하(payload)에 포함된 내용물, URL(Uniform Resource Locator) 및 URI(Uniform Resource Identifier) 정보 등의 전부 또는 일부를 포함하되, 반드시 이에 한정되는 것은 아니며, 기타 보안위협을 표현할 수 있는 어느 정보든 추가될 수 있다. The feature data that can be extracted from the detection event includes a detection ID number and a detection rule name of a detection rule, information related to the occurrence time of the detection event, information on the threat target, and detection The underlying signature, the type of detection equipment, the manufacturer of the detection equipment, severity estimation information for the detection result, information on the source of the threat (such as the source country or source IP address), information on the destination of the threat (such as the destination country or destination) IP address, etc.), service and port information used by the threat, protocol used by the threat, network information and packet information, contents included in the packet payload, Uniform Resource Locator (URL) and Uniform Resource Identifier (URI) information All or part of, etc. are included, but are not necessarily limited thereto, and any information that can express other security threats may be added.

특징 추출 과정에서는, 특징 데이터를 이용하여 처리 소요 시간 및 단위시간 당 빈도수, 유사 공격유형의 발생 수, 동일 출발지 및 동일 목적지에 대한 세션(session) 정보 등과 같은 파생 특징 데이터가 생성될 수 있다. In the feature extraction process, derived feature data such as the processing time required and the frequency per unit time, the number of occurrences of similar attack types, and session information for the same origin and the same destination may be generated using the feature data.

또한, 특징 추출 과정에서는, 특징 데이터 또는 파생 특징 데이터를 사용하여 다차원 행렬(multi-dimensional matrix)이 생성되거나, 시계열 정보를 보유한 특징 데이터 또는 파생 특징 데이터가 순차적(time-series or sequential) 변수로 변환될 수 있다. In addition, in the feature extraction process, a multi-dimensional matrix is generated using feature data or derived feature data, or feature data or derived feature data having time-series information is converted into a time-series or sequential variable can be

인코딩 과정에서는, 특징 추출 과정의 결과를 기반으로 머신러닝 기반 추론 모델에 적합한 형태의 입력 데이터가 생성된다.In the encoding process, input data in a form suitable for a machine learning-based inference model is generated based on the result of the feature extraction process.

본 실시예에 있어서 입력 데이터는 원핫인코딩(one-hot encoding) 데이터 또는 라벨인코딩(label encoding) 데이터일 수 있다. 여기서 원핫인코딩 데이터는 전체 구성요소 중 하나만이 수치로 표시되고 나머지 구성요소는 0으로 표시되는 데이터이다. 한편, 원핫인코딩 벡터보다 차원을 줄인 라벨인코딩 데이터는 연속된 숫자로 표기되는 데이터이다.In this embodiment, the input data may be one-hot encoding data or label encoding data. Here, the one-hot encoding data is data in which only one of the entire components is displayed as a numerical value and the remaining components are displayed as 0. On the other hand, label-encoded data with a reduced dimension compared to the one-hot-encoded vector is data represented by continuous numbers.

본 발명의 다른 실시예에서, 입력 데이터는 신경회로망(neural network) 기반의 오토인코더(auto-encoder)에 의하여 생성된 데이터일 수 있다. In another embodiment of the present invention, the input data may be data generated by an auto-encoder based on a neural network.

본 실시예에 따른 대응추론부(230)는 입력 데이터를 추론 모델에 입력하여 탐지 이벤트의 보안위협 여부 및 탐지 이벤트에 대한 대응 방안을 추론한다. 대응추론부(230)는 M(M은 자연수) 개의 추론 모델을 포함하는 추론 모델 그룹(231)을 포함한다. 대응추론부(230)는 M 개의 추론 모델 중 선택된 하나의 추론 모델을 이용하여 대응 방안을 추론한다. The correspondence inference unit 230 according to the present embodiment inputs input data to the inference model to infer whether the detection event is a security threat and a countermeasure for the detection event. Correspondence inference unit 230 includes an inference model group 231 including M (M is a natural number) inference models. The correspondence inference unit 230 infers a corresponding method by using one inference model selected from among the M inference models.

선택된 추론 모델은 M 개의 추론 모델에 대한 사전 학습의 결과에 따른 누적 신뢰도가 제일 높은 모델일 수 있다. 추론 모델은 초기 학습(initial learning), 증분 학습(incremental learning), 갱신 학습(renewal learning) 등에 의존하여 다르게 선택될 수 있다. 추론 모델에 대한 학습 과정은 추후에 설명하기로 한다.The selected inference model may be a model having the highest cumulative reliability according to a result of prior learning for the M inference models. The inference model may be selected differently depending on initial learning, incremental learning, renewal learning, and the like. The learning process for the inference model will be described later.

추론 결과에 따른 누적 신뢰도에 따라 다른 추론 모델이 선택될 수 있다. 누적된 추론 결과에 근거하는 추론 모델의 선정은 신뢰도산정부(240)에 대한 설명에서 기술하기로 한다. Another inference model may be selected according to the cumulative reliability according to the inference result. Selection of an inference model based on the accumulated inference result will be described in the description of the reliability calculation unit 240 .

대응추론부(230)는 대응 방안의 추론을 위하여 트레이닝부에 의하여 사전에 학습된 머신러닝(machine learning) 기반의 추론 모델을 이용한다. 추론 모델의 종류 및 추론 모델의 트레이닝 과정은 추후에 설명하기로 한다.Correspondence inference unit 230 uses a machine learning-based inference model learned in advance by the training unit for inference of the corresponding method. A type of inference model and a training process of the inference model will be described later.

추론 모델의 추론 결과는 탐지 이벤트의 보안위협 여부 및 탐지 이벤트에 대한 대응 방안을 포함할 수 있다. The inference result of the inference model may include whether the detection event is a security threat and a countermeasure for the detection event.

탐지 이벤트에 대한 대응 방안은 고객에의 통보 여부, 위협의 모호성에 따른 보안관제 전문가에 의한 재판단 요청 여부, 위협 레포팅 대상 여부, 블랙리스트 등록 여부, 위협 차단 또는 허용 여부 등의 전부 또는 일부를 포함하나, 반드시 이에 한정되는 것은 아니며, 대응 방안으로 이용될 수 있는 어느 방안이든 추가될 수 있다. 즉, 추론 모델은 복수의 대응 방안 및 그 실행 여부를 추론할 수 있다. 한편, 탐지 이벤트의 보안 위협 여부 및 해당되는 신뢰도는 대응 방안의 실행 여부를 결정하는 데 이용될 수 있다.Response measures for detection events include all or part of whether to notify customers, whether to request a judgment by a security control expert according to the ambiguity of threats, whether to report threats, whether to register in a blacklist, and whether to block or allow threats, etc. However, the present invention is not necessarily limited thereto, and any method that can be used as a countermeasure may be added. That is, the inference model can infer a plurality of countermeasures and whether they are executed. Meanwhile, whether the detection event is a security threat and the corresponding reliability may be used to determine whether to execute a countermeasure.

또한, 각각의 대응 방안에는 위협 정보 여부, 위협에 대한 사전 필터링 여부, 위협에 대한 고객에의 통보 처리 여부, 위협에 대한 블랙리스트 처리 여부, 위협에 대한 레포팅 정보, 위협에 대한 방화벽의 차단 및 거부 로그 등의 전부 또는 일부를 포함될 수 있으나, 반드시 이에 한정되는 것은 아니며, 기타 대응 방안을 표현할 수 있는 어느 정보든 추가될 수 있다. In addition, each response plan includes whether or not threat information, whether or not to filter in advance for threats, whether to notify customers about threats, whether to process blacklists for threats, reporting information on threats, and blocking and rejecting threats by firewalls All or part of the log may be included, but the present invention is not limited thereto, and any information capable of expressing other countermeasures may be added.

본 실시예에 따른 신뢰도산정부(240)는 추론된 대응 방안에 대한 신뢰도를 산정한다. 신뢰도산정부(240)는 저신뢰도 이벤트 DB(241)를 포함한다. The reliability calculation unit 240 according to the present embodiment calculates the reliability of the inferred response plan. The reliability calculation unit 240 includes a low reliability event DB (241).

추론 모델에 의하여 추론된 대응 방안은 예측 확률로 표현될 수 있다. 추론 모델의 출력 측은 로지스틱 함수(logistic function: 시그모이드(sigmode) 함수와 동일한 의미임)로 구현될 수 있다. 판단을 위한 임계치를 로지스틱 함수값에 적용하면, 임계치 근처에서 판단이 모호한 상황이 발생할 수 있다. 따라서 추론된 대응 방안에 대한 예측 확률을 회귀분석 기반으로 재조정하여 대응 방안의 신뢰도를 산정할 수 있다. 회귀분석을 위한 타겟 변수(target variable)는 보안관제 전문가의 재검토 결과를 반영하여 조정된 값이며, 지속적으로 업데이트될 수 있다. The corresponding solution inferred by the inference model may be expressed as a prediction probability. The output side of the inference model may be implemented as a logistic function (same meaning as a sigmode function). If the threshold for judgment is applied to the logistic function value, a situation in which judgment is ambiguous near the threshold may occur. Therefore, the reliability of the response plan can be calculated by re-adjusting the predicted probability of the inferred response plan based on the regression analysis. The target variable for regression analysis is a value adjusted by reflecting the review result of the security control expert, and can be continuously updated.

전술한 바와 같이 추론된 대응 방안은 정확하게는 대응 방안에 대한 실행 여부이므로, 대응 방안의 신뢰도가 높다는 의미는, 대응 방안에 대한 실행 또는 비실행이 확정적이라는 의미이다. 반대로 신뢰도가 낮다는 의미는 대응 방안의 실행 여부가 모호하다는 의미이다.Since the countermeasure inferred as described above is precisely whether the countermeasure is executed or not, the high reliability of the countermeasure means that the execution or non-execution of the countermeasure is definitive. Conversely, the low reliability means that the implementation of the countermeasure is ambiguous.

신뢰도산정부(240)는 산정된 신뢰도를 기 설정된 임계치와 비교한다. 산정된 신뢰도가 기 설정된 임계치보다 낮은 경우, 탐지 이벤트는 저신뢰도 이벤트로 분류된다. 여기서 신뢰도가 낮다는 의미는, 탐지 이벤트의 보안 위협 여부 및 대응 방안의 실행 여부에 대한 신뢰도가 모두 임계치보다 낮다는 의미이다. 저신뢰도 이벤트는 보안관제 전문가에게 재검토가 요청된다. 이는 신뢰성이 확보되지 않은 추론 결과에 따른 자동 대응은 오히려 또다른 위험을 유발할 수 있기 때문이다. The reliability calculator 240 compares the calculated reliability with a preset threshold. When the calculated reliability is lower than a preset threshold, the detection event is classified as a low reliability event. Here, the low reliability means that both the reliability of whether the detection event is a security threat and whether the countermeasure is executed is lower than the threshold. A low-reliability event is requested to be reviewed by a security control expert. This is because automatic responses based on unreliable reasoning results may rather cause another risk.

신뢰도산정부(240)는 저신뢰도 이벤트 및 보안관제 전문가가 제공한 대응 방안 라벨을 저신뢰도 이벤트 DB(241)에 저장한다.The reliability calculation unit 240 stores the low-reliability event and the response plan label provided by the security control expert in the low-reliability event DB 241 .

한편, 신뢰도산정부(240)는 산정된 신뢰도를 누적하여, 추론 모델 그룹(231)에 포함된 다른 추론 모델이 보유한 누적 신뢰도와 주기적으로 비교한다. 현재 선택된 추론 모델의 누적 신뢰도가 다른 추론 모델의 누적 신뢰도보다 낮은 경우, 보안관제 장치(100)는 더 높은 누적 신뢰도를 보유한 다른 추론 모델로 교체하여 이후의 대응 방안 추론에 교체된 모델을 이용할 수 있다.Meanwhile, the reliability calculation unit 240 accumulates the calculated reliability and periodically compares it with the accumulated reliability possessed by other inference models included in the inference model group 231 . When the cumulative reliability of the currently selected inference model is lower than the cumulative reliability of the other inference models, the security control device 100 may replace the other inference model with a higher cumulative reliability to use the replaced model for inference of a subsequent countermeasure. .

본 실시예에 따른 대응실행부(250)는 산정된 신뢰도가 기 설정된 임계치 이상인 경우, 추론된 대응 방안을 실행한다. 여기서 신뢰도가 임계치 이상이라는 의미는, 탐지 이벤트의 보안 위협 여부 및 대응 방안의 실행 여부에 대한 신뢰도가 모두 임계치 이상이라는 의미이다. 추론된 대응 방안은 정확하게는 대응 방안에 대한 실행 여부를 의미하므로, 대응 방안을 실행한다는 의미는 대응을 하지 않는 것도 포함한다.The correspondence execution unit 250 according to the present embodiment executes the inferred response plan when the calculated reliability is equal to or greater than a preset threshold. Here, the reliability of the threshold or higher means that the reliability of whether the detection event is a security threat and whether the countermeasure is executed are all greater than or equal to the threshold. Since the inferred countermeasure accurately means whether to execute the countermeasure or not, the meaning of executing the countermeasure includes not responding.

표 1은 대응실행부(250)가 실행하는 대응 방안에 대한 예시를 나타낸다.Table 1 shows an example of a corresponding method executed by the corresponding execution unit 250 .

Figure 112019106663253-pat00001
Figure 112019106663253-pat00001

추론 모델은 복수의 대응 방안을 생성할 수 있으므로, 표 1에 예시된 바대로 대응실행부(250)는 복수의 대응 방안 각각을 실행할 수 있다. 예컨대, 탐지 이벤트가 보안 위협이지만, 고객에의 통보가 미실행으로 추론될 경우, 대응실행부(250)는 고객에의 통보를 생략하고, 보안 위협이 발생한 IP 주소를 블랙리스트에 등록할 수 있다.Since the inference model can generate a plurality of countermeasures, the correspondence execution unit 250 may execute each of the plurality of countermeasures as illustrated in Table 1. For example, if the detection event is a security threat, but the notification to the customer is inferred as non-execution, the response execution unit 250 may omit the notification to the customer and register the IP address where the security threat occurs in the blacklist. .

본 실시예에 따른 리트레이닝부(260)는 저신뢰도 이벤트 DB(241)에 저장된 데이터를 이용하여 사용 중인 추론 모델에 대한 온라인 리트레이닝(online retraining)을 수행한다. The retraining unit 260 according to the present embodiment performs online retraining on the inference model in use by using data stored in the low reliability event DB 241 .

여기서, 온라인 리트레이닝은 학습용 데이터가 획득될 때마다 학습 모델에 대한 리트레이닝을 수행하는 것을 의미한다. 이와는 달리 오프라인 리트레이닝(offline retraining)은, 학습용 데이터를 누적하여 저장해 두었다가, 적절한 시점에 학습 모델에 대한 리트레이닝을 수행하는 것을 의미한다. 저장 공간의 효율적인 이용 측면에서, 온라인 트레이닝이 선호된다. 이하 특별한 언급이 없다면 리트레이닝은 온라인 리트레이닝인 것으로 가정하나, 반드시 이에 한정하는 것은 아니다.Here, the online retraining means performing retraining on the learning model whenever data for learning is obtained. Contrary to this, offline retraining refers to accumulating and storing training data, and then performing retraining on the learning model at an appropriate time. In terms of efficient use of storage space, online training is preferred. Hereinafter, unless otherwise specified, retraining is assumed to be online retraining, but is not necessarily limited thereto.

리트레이닝부(260)는 저신뢰도 이벤트 DB(241)에 저장된 저신뢰도 이벤트 및 대응 방안 라벨을 기반으로 사용 중인 추론 모델에 대한 증분 학습(incremental learning)을 수행할 수 있다. 여기서 증분 학습은, 추가된 데이터를 이용하여 리트레이닝을 기반으로 학습 모델의 파라미터를 업데이트하는 학습 방법이다. 일반적으로 증분 학습을 이용하여 학습 모델의 추론 정확도를 높이는 것이 가능하다. 저신뢰도 이벤트는 학습 데이터를 양적으로 증대시킬 수 있는 데이터이다. 따라서, 리트레이닝부(260)에 의한 증분 학습에 기반하여 추론 모델의 추론 정확도를 높이는 것이 가능하다. The retraining unit 260 may perform incremental learning on the inference model in use based on the low-reliability event and response plan label stored in the low-reliability event DB 241 . Incremental learning is a learning method of updating parameters of a learning model based on retraining using added data. In general, it is possible to increase the inference accuracy of a learning model by using incremental learning. The low-reliability event is data that can quantitatively increase training data. Accordingly, it is possible to increase the inference accuracy of the inference model based on the incremental learning by the retraining unit 260 .

본 발명의 다른 실시예에서, 저신뢰도 이벤트 DB(241)를 기반으로 추론 모델 그룹(231)에 포함된 M 개의 추론 모델 전부에 대한 증분 학습(incremental learning)을 실행할 수 있다. M 개의 추론 모델에 대한 증분 학습의 결과에 근거하여 누적 신뢰도가 제일 높은 추론 모델을 선택하여, 이후의 추론 과정에 이용할 수 있다.In another embodiment of the present invention, incremental learning may be performed on all M inference models included in the inference model group 231 based on the low reliability event DB 241 . An inference model with the highest cumulative reliability may be selected based on the results of incremental learning for the M inference models, and may be used in a subsequent reasoning process.

이상에서 설명한 바와 같이 본 실시예에 따르면, 기존의 보안솔루션 및 탐지 장비가 제공하는 보안위협 탐지 이벤트에 대하여, 머신러닝 기반 추론 모델을 이용하여 탐지 이벤트에 대한 대응 방안을 자동으로 추론하는 것이 가능하므로, 자동 분석 및 대응 방안에 대한 신뢰성을 향상시키고, 보안전문가의 수작업 분석 및 대응 과정을 최소화하는 것이 가능해진다.As described above, according to this embodiment, with respect to the security threat detection event provided by the existing security solution and detection equipment, it is possible to automatically infer a countermeasure for the detection event using a machine learning-based inference model. , it becomes possible to improve the reliability of automatic analysis and countermeasures, and to minimize the manual analysis and response process of security experts.

전술한 바와 같이 본 실시예에 따른 보안관제 장치(100)는 머신러닝 기반의 추론 모델을 구비하고, 구비된 추론 모델에 대한 트레이닝 과정을 수행할 수 있다. 이러한 추론 모델은 복수의 보안솔루션 및 탐지 장비로부터 획득한 탐지 이벤트를 기반으로, 적절한 대응 방안을 추론하는 것이 가능하도록 사전에 트레이닝된 모델일 수 있다.As described above, the security control apparatus 100 according to the present embodiment may have a machine learning-based inference model, and may perform a training process on the provided inference model. This inference model is based on detection events acquired from multiple security solutions and detection equipment, It can be a model that has been previously trained to make inferences possible.

추론 모델 그룹(231)에 속한 추론 모델에 대한 학습은 초기 학습, 증분 학습 및 갱신 학습을 포함한다. 초기 학습은, 추론 모델을 생성하여 학습을 진행하는 것을 의미한다. 증분 학습은, 대응 방안의 추론 과정 중에, 선택된 추론 모델에 대한 온라인 학습을 수행하는 것을 의미한다. 갱신 학습은, 일정 주기마다 추론 모델 그룹에 속한 추론 모델 전부 또는 일부에 대한 누적 신뢰도를 평가하여 만족스럽지 못할 경우, 추론 모델의 전부 또는 일부의 파라미터를 리셋하고, 다시 학습을 진행하는 것을 의미한다. Learning for an inference model belonging to the inference model group 231 includes initial learning, incremental learning, and update learning. Initial learning means generating an inference model and proceeding with learning. Incremental learning means performing online learning on the selected inference model during the reasoning process of the corresponding method. Renewal learning evaluates the cumulative reliability of all or part of the inference model belonging to the inference model group at regular intervals and, when unsatisfactory, resets all or some parameters of the inference model and performs learning again.

리트레이닝부(260)에 대한 설명에서 증분 학습이 설명되었으므로, 이하 도 3 및 도 4을 참조하여, 추론 모델의 초기 학습 또는 갱신 학습을 위한 트레이닝 과정에 대해 설명하도록 한다.Since incremental learning has been described in the description of the retraining unit 260, a training process for initial learning or update learning of the inference model will be described with reference to FIGS. 3 and 4 below.

도 3은 본 발명의 일 실시예에 따른 추론 모델 그룹의 학습에 대한 개념도이다. 도 4는 본 발명의 일 실시예에 따른 추론 모델의 학습에 대한 순서도이다. 여기서 도 4의 (a)는 추론 모델 전체의 트레이닝 과정에 대한 순서도이고, 도 4의 (b)는 부모델(sub-model)을 포함하는 임의의 추론 모델(제J 추론 모델, J는 1 이상 M 이하의 자연수)에 대한 트레이닝 과정에 대한 순서도이다.3 is a conceptual diagram for learning of an inference model group according to an embodiment of the present invention. 4 is a flowchart for training of an inference model according to an embodiment of the present invention. Here, Fig. 4 (a) is a flowchart for the training process of the entire inference model, and Fig. 4 (b) is an arbitrary inference model (Jth inference model, J is 1 or more) including a sub-model It is a flowchart for the training process for a natural number less than or equal to M).

도 3에 도시된 바와 같이 추론 모델 그룹(231)은 M 개의 추론 모델을 포함한다. 각 추론 모델은 머신러닝 기반으로 구현될 수 있으며, 더 자세하게는 의사결정 나무(decision tree)를 기반으로 배깅(bagging) 및 부스팅(boosting)을 이용하는 앙상블 모델(ensemble model), XGboost(eXtreme Gradient Boosting) 또는 Light GBM(Light Gradient Boosting Machine) 모델이 추론 모델로서 사용될 수 있다. 배깅 및 부스팅을 이용하는 추론 모델은 부모델로서 K(K는 자연수) 개의 의사결정 나무를 포함할 수 있다.As shown in FIG. 3 , the inference model group 231 includes M inference models. Each inference model can be implemented based on machine learning, and in more detail, an ensemble model using bagging and boosting based on a decision tree, eXtreme Gradient Boosting (XGboost) Alternatively, a Light GBM (Light Gradient Boosting Machine) model may be used as the inference model. An inference model using bagging and boosting may include K (K is a natural number) decision trees as submodels.

또한 SVM(Support Vector Machine) 또는 신경망을 기반으로 한 딥러닝(deep learning) 모델이 추론 모델로서 사용될 수 있다. 딥러닝 모델의 경우, 입력 데이터의 변환에 따라 CNN(Convolutional Neural Network) 또는 RNN(Recurrent Neural Network) 및 이들을 조합한 또다른 모델이 추론 모델로서 사용될 수 있다. 추론에 사용될 수 있는 머신 러닝 기반의 모델이면 그 종류에 제한은 없다. In addition, a deep learning model based on a support vector machine (SVM) or a neural network may be used as an inference model. In the case of a deep learning model, a Convolutional Neural Network (CNN) or Recurrent Neural Network (RNN) and another model combining them may be used as an inference model according to the transformation of input data. As long as it is a machine learning-based model that can be used for inference, there is no limitation on the type.

이하 도 4의 (a)에 예시된 순서도를 참조하여, 추론 모델 전체의 트레이닝 과정에 대하여 설명한다. Hereinafter, with reference to the flowchart illustrated in (a) of FIG. 4 , a training process of the entire inference model will be described.

트레이닝부는 학습용 탐지 이벤트 및 라벨을 획득한다(S401). 여기서 라벨은 탐지 이벤트의 보안위협 여부 및 탐지 이벤트에 대한 대응 방안의 실행 여부를 나타낸다. 대응추론부(230)에 대한 기술에서 대응 방안의 종류 및 내용이 설명되었으므로 더 이상의 설명은 생략한다. The training unit acquires a detection event for learning and a label (S401). Here, the label indicates whether the detection event is a security threat and whether a countermeasure for the detection event is executed. Since the types and contents of the corresponding methods have been described in the description of the correspondence inference unit 230 , further descriptions are omitted.

트레이닝부는 전처리 과정을 실행한다(S402). 탐지 이벤트를 제공하는 보안솔루션들 간의 편차를 보완하기 위해 전처리 과정이 실행될 수 있다. 트레이닝부는 탐지 이벤트 내에서 공란으로 획득된 부분을 채우고, 탐지 이벤트가 포함한 오차를 정정할 수 있다.The training unit executes a pre-processing process (S402). A preprocessing process may be executed to compensate for variations between security solutions providing detection events. The training unit may fill in the blanks obtained in the detection event and correct errors included in the detection event.

트레이닝부는 인코딩 과정을 실행하여 입력 데이터를 생성한다(S403). 트레이닝부는 탐지 이벤트로부터 특징 데이터를 추출하고, 특징 데이터를 구성하는 문자 또는 문자열을 수치화하여, 머신러닝 기반 추론 모델에 적합한 형태의 입력 데이터를 생성한다. The training unit generates input data by executing an encoding process (S403). The training unit extracts feature data from the detection event, digitizes characters or strings constituting the feature data, and generates input data in a form suitable for a machine learning-based inference model.

트레이닝부는 입력 데이터에 배깅을 적용하여 추론 모델 별로 앙상블 데이터를 생성한다(S404). 여기서 배깅은 학습용 탐지 이벤트 전체를 중복 가능한 M 개의 그룹으로 분할하여, 분할된 그룹을 추론 모델 별로 적용하는 방법이다.The training unit generates ensemble data for each inference model by applying bagging to the input data (S404). Here, bagging is a method of dividing the entire detection event for learning into M groups capable of overlapping, and applying the divided groups to each inference model.

M 개의 앙상블 데이터를 기반으로 M 개의 추론 모델은 추론 결과를 생성한다(S405).Based on the M ensemble data, the M inference models generate inference results (S405).

트레이닝부는 M 개의 추론 결과에 대한 신뢰도를 산정하고, 누적하여 누적 신뢰도를 산정한다(S406).The training unit calculates the reliability of the M inference results, and accumulates them to calculate the cumulative reliability ( S406 ).

전술한 바와 같이 라벨은 대응 방안에 대한 실행 여부이므로, 라벨을 목표로 하는 추론 결과의 신뢰도가 높다는 의미는, 대응 방안에 대한 실행 및 비실행을 확정할 수 있다는 의미이다. 반대로 신뢰도가 낮다는 의미는 대응 방안의 실행 여부가 모호하다는 의미이다.As described above, since the label indicates whether the countermeasure is executed or not, the high reliability of the inference result targeting the label means that the execution or non-execution of the countermeasure can be determined. Conversely, the low reliability means that the implementation of the countermeasure is ambiguous.

트레이닝부는 각각의 추론 결과 및 라벨을 기반으로 M 개의 추론 모델의 파라미터를 업데이트한다(S407). 각 추론 모델의 파라미터를 업데이트할 때, 추론 모델 별 누적 신뢰도(S406 참조)를 기반으로 부스팅이 적용될 수 있다. 즉 높은 신뢰도를 보이는 추론 모델의 파라미터에 대해서는 업데이트 증분을 감소시키고, 낮은 신뢰도를 보이는 추론 모델의 파라미터에 대해서는 업데이트 증분을 증가시킬 수 있다. The training unit updates the parameters of the M inference models based on the respective inference results and labels (S407). When updating the parameters of each inference model, boosting may be applied based on the accumulated reliability (see S406) for each inference model. That is, the update increment may be decreased for the parameters of the inference model showing high reliability, and the update increment may be increased for the parameters of the inference model showing low reliability.

추론 모델 그룹(231)에 대한 초기 학습 또는 갱신 학습이 완료되면, 트레이닝부는 누적 신뢰도를 비교하여 각 추론 모델의 신뢰도 순위를 정한다. 이후 가장 높은 순위의 추론 모델을 선택하여 보안관제 장치(100)의 대응 방안 추론에 사용할 수 있다. 선택된 추론 모델의 추론 과정에서의 누적 신뢰도 및 다른 추론 모델의 누적 신뢰도 간의 비교에 기반하여 추론 모델이 교체될 수 있다.When the initial learning or update learning for the inference model group 231 is completed, the training unit compares the accumulated reliability and ranks the reliability of each inference model. Thereafter, the highest-ranking inference model may be selected and used for inferring a response plan of the security control device 100 . An inference model may be replaced based on a comparison between the cumulative reliability in the reasoning process of the selected inference model and the cumulative reliability of another inference model.

이하 도 4의 (b)에 예시된 순서도를 참조하여, K 개의 부모델을 포함하는 추론 모델에 대한 트레이닝 과정을 설명한다. Hereinafter, a training process for an inference model including K submodels will be described with reference to the flowchart illustrated in FIG. 4B .

추론 모델에 대한 앙상블 데이터가 준비되는 과정은 도 4의 (a)의 단계(S401 내지 S403)와 동일 또는 유사하다.The process of preparing ensemble data for the inference model is the same as or similar to steps S401 to S403 of FIG. 4A .

트레이닝부는 입력 데이터에 배깅 방법을 적용하여 부모델 별로 앙상블 데이터를 생성한다(S411). 여기서 입력 데이터는 추론 모델에 배정된 앙상블 데이터를 의미하며, 전체 학습용 탐지 이벤트의 일부이다. 배깅은 추론 모델에 배정된 앙상블 데이터를 중복 가능한 K 개의 부그룹으로 분할하여, 분할된 부그룹을 부모델 별로 적용하는 방법이다.The training unit generates ensemble data for each sub-model by applying a bagging method to the input data (S411). Here, the input data means the ensemble data assigned to the inference model, and is a part of the detection event for overall training. Bagging is a method of dividing ensemble data assigned to an inference model into K overlapping subgroups, and applying the divided subgroups to each submodel.

K 개의 부모델은 앙상블 데이터를 기반으로 부추론(sub-inference) 결과를 생성한다(S412). The K sub-models generate sub-inference results based on the ensemble data (S412).

트레이닝부는 K 개의 부추론 결과에 대한 신뢰도를 산정하고 누적하여 누적 신뢰도를 산정한다(S413).The training unit calculates and accumulates the reliability for the K inference results to calculate the cumulative reliability (S413).

트레이닝부는 K 개의 부추론 결과에 가중치를 적용하여 가중합한 추론 결과를 생성한다(S414). The training unit generates a weighted inference result by applying a weight to the K sub-inference results (S414).

트레이닝부는 누적 신뢰도를 기반으로 부스팅을 이용하여 가중치를 업데이트한다(S415). 여기서 부스팅은, 높은 신뢰도를 보이는 부모델에 대한 가중치는 증가시키고, 낮은 신뢰도를 보이는 부모델에 대한 가중치를 감소시키는 작업이다.The training unit updates the weights using boosting based on the accumulated reliability (S415). Here, boosting is an operation of increasing a weight for a submodel with high reliability and decreasing a weight for a submodel with low reliability.

추론 결과를 처리하는 과정은 도 4의 (a)의 단계(S406 및 S407)를 따른다. 여기서, 부모델을 포함하는 추론 모델에 대한 파라미터의 업데이트는 부모델의 파라미터를 업데이트하는 것을 의미한다. The process of processing the inference result follows steps S406 and S407 of FIG. 4A. Here, the updating of the parameters for the inference model including the submodel means updating the parameters of the submodel.

부모델의 파라미터를 업데이트할 때, 부모델 별 누적 신뢰도(S413 참조)를 기반으로 부스팅이 적용될 수 있다. 즉 높은 신뢰도를 보이는 부모델에 대한 파라미터는 업데이트 증분을 감소시키고, 낮은 신뢰도를 보이는 부모델에 대한 파라미터는 업데이트 증분을 증가시킬 수 있다.When updating the parameters of the submodels, boosting may be applied based on the accumulated reliability (refer to S413) for each submodel. That is, a parameter for a submodel with high reliability may decrease the update increment, and a parameter for a submodel with low reliability may increase the update increment.

부모델을 포함하는 추론 모델에 있어서, 부모델에 부스팅이 적용될 때, 추론 모델의 누적 신뢰도가 반영될 수 있다. 즉 추론 모델의 누적 신뢰도를 기반으로 부모델의 파라미터 업데이트 증분을 전체적으로 조정할 수 있다.In the inference model including the submodel, when boosting is applied to the submodel, the cumulative reliability of the inference model may be reflected. That is, based on the cumulative reliability of the inference model, the increment of the parameter update of the submodel can be adjusted as a whole.

도 5는 본 발명의 일 실시예에 따른 보안관제 방법에 대한 순서도이다.5 is a flowchart of a security control method according to an embodiment of the present invention.

보안관제 장치(100)는 보안솔루션(security solutions) 및 탐지 장비(detection equipments)로부터 탐지 이벤트를 획득한다(S501).The security control device 100 obtains a detection event from security solutions and detection equipments (S501).

보안관제 장치(100)는 규칙 DB(211)를 참조하여, 규칙 기반 필터링을 실행한다(S502). 여기서 규칙 DB(211)는 사전에 설정된 규칙을 저장한다. The security control device 100 refers to the rule DB 211 and executes rule-based filtering (S502). Here, the rule DB 211 stores a rule set in advance.

보안관제 장치(100)는 탐지 이벤트가 규칙을 만족하는지를 확인하여(S503), 규칙을 만족하면 대응방안 DB(212)를 이용하여 탐지 이벤트에 대응을 실행한다(S504). 여기서 대응방안 DB(212)는 각 탐지 이벤트에 대한 적절한 대응 방안을 저장하고 있다. 예컨대, 블랙리스트(blacklist) IP(Internet Protocol) 주소와 같은 잘 알려진 공격 위치로부터 발생한 탐지 이벤트가 제거될 수 있다. 탐지 이벤트에 대한 대응이 실행된 경우, 보안관제 장치(100)는 탐지 이벤트에 대한 대응 방안의 추론 과정을 생략할 수 있다.The security control device 100 checks whether the detection event satisfies the rule (S503), and if the rule is satisfied, the security control device 100 responds to the detection event by using the countermeasure DB 212 (S504). Here, the countermeasure DB 212 stores an appropriate countermeasure for each detection event. For example, detection events originating from well-known attack locations such as blacklist Internet Protocol (IP) addresses may be removed. When the response to the detection event is executed, the security control device 100 may omit the inference process of the response plan for the detection event.

탐지 이벤트가 규칙을 만족하지 않으면, 보안관제 장치(100)는 전처리 과정을 실행한다(S505). 전처리 과정은 탐지 이벤트를 제공하는 보안솔루션(security solution) 간의 편차를 보완하기 위해 실행된다. 전처리 과정에서, 보안관제 장치(100)는 탐지 이벤트 내에서 공란(empty space)으로 획득된 부분을 채우고, 탐지 이벤트가 포함한 오차를 정정할 수 있다.If the detection event does not satisfy the rule, the security control device 100 executes a pre-processing (S505). A preprocessing process is performed to compensate for deviations between security solutions that provide detection events. In the pre-processing process, the security control device 100 may fill in the obtained part as an empty space within the detection event, and may correct an error included in the detection event.

보안관제 장치(100)는 인코딩 과정을 실행하여 입력 데이터를 생성한다(S506). 인코딩 과정에서, 보안관제 장치(100)는 탐지 이벤트로부터 특징 데이터를 추출하고, 특징 데이터를 구성하는 문자 또는 문자열을 수치화하여, 머신러닝 기반 추론 모델에 적합한 형태의 입력 데이터를 생성한다. The security control device 100 generates input data by executing an encoding process (S506). In the encoding process, the security control device 100 extracts feature data from the detection event, digitizes characters or strings constituting the feature data, and generates input data in a form suitable for a machine learning-based inference model.

보안관제 장치(100)는 입력 데이터를 선택된 추론 모델에 입력하여 대응 방안을 추론한다(S507). 보안관제 장치(100)는 추론 모델 그룹(231)이 포함하는 M 개의 추론 모델 중 하나의 추론 모델을 선택하고, 이를 이용하여 대응 방안을 추론한다. The security control device 100 infers a countermeasure by inputting the input data into the selected inference model (S507). The security control device 100 selects one inference model from among the M inference models included in the inference model group 231, and infers a countermeasure using it.

M 개의 추론 모델에 대한 사전 학습에 따른 누적 신뢰도가 가장 큰 모델이 추론 모델로 선택될 수 있다. 추론 모델은 머신러닝(machine learning) 기반의 모델이며 사전에 학습될 수 있다.A model having the greatest cumulative reliability according to prior learning of the M inference models may be selected as the inference model. The inference model is a machine learning-based model and can be trained in advance.

추론 모델의 추론 결과는 탐지 이벤트의 보안위협 여부 및 탐지 이벤트에 대한 대응 방안을 포함할 수 있다. 탐지 이벤트의 보안 위협 여부 및 해당되는 신뢰도는 대응 방안의 실행 여부를 결정하는 데 이용될 수 있다.The inference result of the inference model may include whether the detection event is a security threat and a countermeasure for the detection event. Whether the detection event is a security threat and the corresponding reliability may be used to determine whether to implement a countermeasure.

보안관제 장치(100)는 추론된 대응 방안에 대한 신뢰도를 산정한다(S508). 신뢰도는 추론된 대응 방안에 대한 예측 확률을 회귀분석(regression analysis) 기반으로 재조정하여 산정될 수 있다. The security control device 100 calculates the reliability of the inferred response plan (S508). Reliability may be calculated by re-adjusting the prediction probability for the inferred response method based on regression analysis.

보안관제 장치(100)는 신뢰도가 기 설정된 임계치 이상인지를 확인한다(S509).The security control device 100 checks whether the reliability is greater than or equal to a preset threshold (S509).

신뢰도가 기 설정된 임계치 이상이라고 판단된 경우, 보안관제 장치(100)는 추론된 대응 방안을 실행한다(S510).When it is determined that the reliability is greater than or equal to the preset threshold, the security control device 100 executes the inferred countermeasure (S510).

신뢰도가 기 설정된 임계치보다 낮은 경우, 보안관제 장치(100)는 탐지 이벤트를 저신뢰도 이벤트로 분류하고, 보안관제 전문가에 의한 재검토를 요청한다(S511).When the reliability is lower than the preset threshold, the security control device 100 classifies the detection event as a low-reliability event, and requests a review by a security control expert (S511).

보안관제 장치(100)는 보안관제 전문가에 의한 재검토 결과 저장 및 추론 모델에 대한 리트레이닝을 실행한다(S512).The security control device 100 stores the review result by the security control expert and executes retraining for the inference model (S512).

보안관제 장치(100)는 저신뢰도 이벤트 및 보안관제 전문가가 제공한 대응 방안 라벨을 저신뢰도 이벤트 DB(241)에 저장한다. 보안관제 장치(100)는 저신뢰도 이벤트 DB(241)에 저장된 데이터를 이용하여 사용 중인 추론 모델에 대한 온라인 리트레이닝(online retraining)을 수행한다. 여기서, 온라인 리트레이닝은 학습용 데이터가 획득될 때마다 학습 모델에 대한 리트레이닝을 수행하는 것을 의미한다. The security control device 100 stores the low-reliability event and the response plan label provided by the security control expert in the low-reliability event DB 241 . The security control device 100 is in use using data stored in the low-reliability event DB 241. Perform online retraining of the inference model. Here, the online retraining means performing retraining on the learning model whenever data for learning is obtained.

보안관제 장치(100)는 저신뢰도 이벤트 DB(241)에 저장된 저신뢰도 이벤트 및 대응 방안 라벨을 기반으로 사용 중인 추론 모델에 대한 증분 학습(incremental learning)을 실행할 수 있다.The security control device 100 may perform incremental learning on the inference model being used based on the low-reliability event and response plan label stored in the low-reliability event DB 241 .

이상에서 설명한 바와 같이 본 실시예에 따르면, 머신러닝 기반의 자동화된 보안관제 장치 및 방법을 제공함으로써, 보안솔루션 및 탐지 장비의 기 탐지 이벤트에 대하여 과다 탐지(over-detection)와 오탐지(erroneous detection)를 사전에 판별하여 제거하는 것이 가능해지는 효과가 있다. As described above, according to the present embodiment, by providing a machine learning-based automated security control device and method, over-detection and erroneous detection of a security solution and a previously detected event of a detection device are provided. ) has the effect of being able to identify and remove it in advance.

또한 본 실시예에 따르면, 머신러닝 기반의 자동화된 보안관제 장치 및 방법을 제공함으로써, 기존의 대응 결과의 오류를 보정하는 한편, 기존의 누적된 결과를 이용함에 있어서, 보안전문가 개개인의 역량차이에 기인하는 대응 방안의 수준 차에 따른 불확실성을 최소화하는 것이 가능해지는 효과가 있다. In addition, according to this embodiment, by providing an automated security control device and method based on machine learning, while correcting errors in the existing response results, in using the existing accumulated results, the difference in the capabilities of individual security experts There is an effect that it becomes possible to minimize the uncertainty due to the level difference of the resulting countermeasures.

본 실시예에 따른 각 순서도에서는 각각의 과정을 순차적으로 실행하는 것으로 기재하고 있으나, 반드시 이에 한정되는 것은 아니다. 다시 말해, 순서도에 기재된 과정을 변경하여 실행하거나 하나 이상의 과정을 병렬적으로 실행하는 것이 적용 가능할 것이므로, 순서도는 시계열적인 순서로 한정되는 것은 아니다.Although it is described that each process is sequentially executed in each flowchart according to the present embodiment, the present invention is not limited thereto. In other words, since it may be applicable to change and execute the processes described in the flowchart or to execute one or more processes in parallel, the flowchart is not limited to a time-series order.

본 명세서에 설명되는 시스템들 및 기법들의 다양한 구현예들은, 디지털 전자 회로, 집적 회로, FPGA(field programmable gate array), ASIC(application specific integrated circuit), 컴퓨터 하드웨어, 펌웨어, 소프트웨어, 및/또는 이들의 조합으로 실현될 수 있다. 이러한 다양한 구현예들은 프로그래밍가능 시스템 상에서 실행가능한 하나 이상의 컴퓨터 프로그램들로 구현되는 것을 포함할 수 있다. 프로그래밍가능 시스템은, 저장 시스템, 적어도 하나의 입력 디바이스, 그리고 적어도 하나의 출력 디바이스로부터 데이터 및 명령들을 수신하고 이들에게 데이터 및 명령들을 전송하도록 결합되는 적어도 하나의 프로그래밍가능 프로세서(이것은 특수 목적 프로세서일 수 있거나 혹은 범용 프로세서일 수 있음)를 포함한다. 컴퓨터 프로그램들(이것은 또한 프로그램들, 소프트웨어, 소프트웨어 애플리케이션들 혹은 코드로서 알려져 있음)은 프로그래밍가능 프로세서에 대한 명령어들을 포함하며 "컴퓨터가 읽을 수 있는 기록매체"에 저장된다. Various implementations of the systems and techniques described herein may be implemented in digital electronic circuitry, integrated circuitry, field programmable gate array (FPGA), application specific integrated circuit (ASIC), computer hardware, firmware, software, and/or combination can be realized. These various implementations may include being implemented in one or more computer programs executable on a programmable system. The programmable system includes at least one programmable processor (which may be a special purpose processor) coupled to receive data and instructions from, and transmit data and instructions to, a storage system, at least one input device, and at least one output device. or may be a general-purpose processor). Computer programs (also known as programs, software, software applications or code) contain instructions for a programmable processor and are stored on a "computer-readable recording medium".

컴퓨터가 읽을 수 있는 기록매체는, 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 이러한 컴퓨터가 읽을 수 있는 기록매체는 ROM, CD-ROM, 자기 테이프, 플로피디스크, 메모리 카드, 하드 디스크, 광자기 디스크, 스토리지 디바이스 등의 비휘발성(non-volatile) 또는 비일시적인(non-transitory) 매체일 수 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송) 및 데이터 전송 매체(data transmission medium)와 같은 일시적인(transitory) 매체를 더 포함할 수도 있다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수도 있다.The computer-readable recording medium includes all types of recording devices in which data readable by a computer system is stored. These computer-readable recording media are non-volatile or non-transitory, such as ROM, CD-ROM, magnetic tape, floppy disk, memory card, hard disk, magneto-optical disk, and storage device. media, and may further include transitory media such as carrier waves (eg, transmission over the Internet) and data transmission media. In addition, the computer-readable recording medium is distributed in network-connected computer systems, and computer-readable codes may be stored and executed in a distributed manner.

본 명세서에 설명되는 시스템들 및 기법들의 다양한 구현예들은, 프로그램가능 컴퓨터에 의하여 구현될 수 있다. 여기서, 컴퓨터는 프로그램가능 프로세서, 데이터 저장 시스템(휘발성 메모리, 비휘발성 메모리, 또는 다른 종류의 저장 시스템이거나 이들의 조합을 포함함) 및 적어도 한 개의 커뮤니케이션 인터페이스를 포함한다. 예컨대, 프로그램가능 컴퓨터는 서버, 네트워크 기기, 셋탑 박스, 내장형 장치, 컴퓨터 확장 모듈, 개인용 컴퓨터, 랩탑, PDA(Personal Data Assistant), 클라우드 컴퓨팅 시스템 또는 모바일 장치 중 하나일 수 있다.Various implementations of the systems and techniques described herein may be implemented by a programmable computer. Here, the computer includes a programmable processor, a data storage system (including volatile memory, non-volatile memory, or other types of storage systems or combinations thereof) and at least one communication interface. For example, a programmable computer may be one of a server, a network appliance, a set-top box, an embedded device, a computer expansion module, a personal computer, a laptop, a Personal Data Assistant (PDA), a cloud computing system, or a mobile device.

이상의 설명은 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 실시예들은 본 실시예의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 실시예의 기술 사상의 범위가 한정되는 것은 아니다. 본 실시예의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 실시예의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The above description is merely illustrative of the technical idea of this embodiment, and various modifications and variations will be possible without departing from the essential characteristics of the present embodiment by those skilled in the art to which this embodiment belongs. Accordingly, the present embodiments are intended to explain rather than limit the technical spirit of the present embodiment, and the scope of the technical spirit of the present embodiment is not limited by these embodiments. The protection scope of this embodiment should be interpreted by the following claims, and all technical ideas within the scope equivalent thereto should be interpreted as being included in the scope of the present embodiment.

100: 보안관제 장치 200: 입력부
210: 규칙기반 필터부 220: 전처리 및 인코딩부
230: 대응추론부 231: 추론 모델 그룹
240: 신뢰도산정부 241: 저신뢰도 이벤트 DB
250: 대응실행부 260: 리트레이닝부
100: security control device 200: input unit
210: rule-based filter unit 220: pre-processing and encoding unit
230: correspondence reasoning unit 231: inference model group
240: reliability calculation unit 241: low reliability event DB
250: response execution unit 260: retraining unit

Claims (18)

보안위협(security threat)에 대한 탐지 이벤트(detection events)를 획득하는 입력부;
상기 탐지 이벤트를 입력 데이터로 변환하는 인코딩부;
상기 입력 데이터를 추론 모델(inference model)에 입력하여 상기 탐지 이벤트에 대한 대응 방안을 추론하는 대응추론부, 여기서, 상기 추론 모델은 추론 모델 그룹으로부터 사전에 선택되고, 상기 대응 방안은 예측 확률로서, 상기 대응 방안의 실행 여부를 나타냄;
상기 예측 확률에 기초하여 상기 대응 방안의 신뢰도를 산정하는 신뢰도산정부: 및
상기 산정된 신뢰도에 의존하여 상기 대응 방안을 실행하는 대응실행부
를 포함하는 것을 특징으로 하는 보안관제 장치.an input unit for acquiring detection events for a security threat;
an encoding unit converting the detection event into input data;
Correspondence inference unit for inferring a corresponding method for the detection event by inputting the input data into an inference model, wherein the inference model is pre-selected from a group of inference models, and the corresponding method is a prediction probability, indicating whether the countermeasure is implemented;
A reliability calculation unit for calculating the reliability of the corresponding method based on the prediction probability: And
Correspondence execution unit that executes the response plan depending on the calculated reliability
Security control device comprising a. 제1항에 있어서,
규칙기반 필터부를 더 포함하되, 상기 규칙기반 필터부는 규칙 DB(Database) 및 대응방안 DB를 포함하며, 상기 규칙 DB를 참조하여, 규칙을 기반으로 상기 탐지 이벤트를 필터링하고, 상기 탐지 이벤트가 상기 규칙에 부합하면, 상기 대응 방안 DB를 참조하여 상기 탐지 이벤트에 대한 대응 방안을 실행하는 것을 특징으로 하는 보안관제 장치.According to claim 1,
A rule-based filter unit further comprising a rule-based filter unit, wherein the rule-based filter unit includes a rule DB (Database) and a countermeasure DB, and filters the detection event based on a rule with reference to the rule DB; If it matches, the security control device, characterized in that it executes the countermeasure for the detection event with reference to the countermeasure DB. 제1항에 있어서,
상기 탐지 이벤트 내에서 공란(empty space)으로 획득된 부분을 채우고, 상기 탐지 이벤트가 포함한 오차를 정정하여 보안솔루션(security solutions)에 따른 탐지 이벤트 간의 편차를 보완하는 전처리부를 더 포함하는 것을 특징으로 하는 보안관제 장치.According to claim 1,
A pre-processing unit that fills in the obtained part with an empty space in the detection event, corrects an error included in the detection event, and compensates for deviations between detection events according to security solutions Security control device, characterized in that it further comprises. 제1항에 있어서,
상기 인코딩부는,
상기 탐지 이벤트로부터 특징 데이터를 추출하고, 상기 특징 데이터를 구성하는 문자 또는 문자열을 수치화하여 입력 데이터로 변환하는 것을 특징으로 하는 보안관제 장치.According to claim 1,
The encoding unit,
The security control device, characterized in that extracting the feature data from the detection event, and converting the character or character string constituting the feature data into input data to a numerical value. 제1항에 있어서,
상기 추론 모델 그룹은,
적어도 하나 이상의 모델을 포함하고, 상기 모델 각각은 머신러닝(machine learning) 기반으로 구현되되, 상기 모델 각각은 사전에 트레이닝되는 것을 특징으로 하는 보안관제 장치.According to claim 1,
The inference model group is
Security control device comprising at least one model, each of which is implemented based on machine learning, wherein each of the models is trained in advance. 제5항에 있어서,
상기 추론 모델 그룹에 포함되는 모델 각각에 대한 사전 트레이닝을 종료한 후, 가장 높은 누적 신뢰도를 보유한 모델이 상기 추론 모델로 선택되되, 상기 누적 신뢰도는, 상기 사전 트레이닝에서, 상기 모델 각각이 생성하는 예측 확률에 기초하여 생성된 신뢰도를 누적함으로써, 생성되는 것을 특징으로 하는 보안관제 장치.6. The method of claim 5,
After completing prior training for each model included in the inference model group, a model having the highest cumulative reliability is selected as the inference model, wherein the cumulative reliability is a prediction generated by each model in the prior training A security control device, characterized in that it is generated by accumulating the reliability generated based on the probability. 제1항에 있어서,
상기 신뢰도산정부는,
회귀분석(regression analysis)을 기반으로 상기 대응 방안에 대한 예측 확률을 재조정하여 상기 대응 방안의 신뢰도를 산정하고, 상기 신뢰도가 기 설정된 임계치보다 낮은 경우, 상기 탐지 이벤트를 저신뢰도 이벤트로 분류하고, 상기 저신뢰도 이벤트 및 해당되는 대응 방안 라벨을 저신뢰도 이벤트 DB에 저장하는 것을 특징으로 하는 보안관제 장치.According to claim 1,
The reliability calculation unit,
Calculate the reliability of the corresponding method by re-adjusting the prediction probability for the corresponding method based on regression analysis, and when the reliability is lower than a preset threshold, classify the detection event as a low reliability event, and A security control device, characterized in that the low-reliability event and the corresponding countermeasure label are stored in the low-reliability event DB. 제7항에 있어서,
상기 저신뢰도 이벤트 DB에 저장된 데이터를 기반으로, 상기 선택된 추론 모델에 대한 증분 학습(incremental learning)을 실행하는 리트레이닝부를 더 포함하는 것을 특징으로 하는 보안관제 장치.8. The method of claim 7,
Based on the data stored in the low-reliability event DB, the security control device characterized in that it further comprises a retraining unit for performing incremental learning (incremental learning) for the selected inference model. 컴퓨터 상에 구현되는, 보안관제 장치의 학습방법에 있어서,
보안위협(security threat)에 대한 탐지 이벤트(detection events) 및 라벨(labels)을 획득하는 과정, 여기서, 상기 라벨은 상기 탐지 이벤트에 대한 대응 방안의 실행 여부임;
상기 탐지 이벤트로부터 특징 데이터를 추출하고, 상기 특징 데이터를 구성하는 문자 또는 문자열을 수치화하여 입력 데이터로 변환하는 과정;
상기 입력 데이터에 배깅(bagging)을 적용하여 머신러닝(machine learning)에 기반하는 적어도 하나의 추론 모델(inference models)에 대한 앙상블(ensemble) 데이터를 생성하는 과정;
상기 앙상블 데이터를 상기 추론 모델 별로 적용하여 추론 결과를 생성하는 과정, 여기서, 상기 추론 결과는 예측 확률로서, 상기 대응 방안의 실행 여부를 나타냄;
상기 추론 모델 별로 상기 예측 확률에 기초하여 상기 추론 결과에 대한 신뢰도를 산정하고, 상기 신뢰도를 누적하여 누적 신뢰도를 산정하는 과정; 및
상기 추론 결과 및 상기 라벨을 기반으로 상기 추론 모델 별로 파라미터를 업데이트하는 과정
을 포함하는 것을 특징으로 하는 보안관제 장치의 학습방법.In the learning method of a security control device implemented on a computer,
a process of obtaining detection events and labels for a security threat, wherein the label is whether a countermeasure for the detection event is executed;
extracting feature data from the detection event and converting a character or character string constituting the feature data into input data;
generating ensemble data for at least one inference model based on machine learning by applying bagging to the input data;
generating an inference result by applying the ensemble data for each inference model, wherein the inference result is a prediction probability indicating whether the corresponding method is executed;
calculating reliability for the inference result based on the prediction probability for each inference model, and accumulating the reliability to calculate cumulative reliability; and
The process of updating parameters for each inference model based on the inference result and the label
Learning method of the security control device, characterized in that it comprises a. 제9항에 있어서,
상기 탐지 이벤트 내에서 공란(empty space)으로 획득된 부분을 채우고, 상기 탐지 이벤트가 포함한 오차를 정정하여 보안솔루션(security solution)에 따른 탐지 이벤트 간의 편차를 보완하는 전처리 과정을 더 포함하는 것을 특징으로 하는 보안관제 장치의 학습방법.10. The method of claim 9,
The method further comprises a pre-processing step of filling in an empty space in the detection event and correcting an error included in the detection event to compensate for deviations between detection events according to a security solution. learning method of security control device. 제9항에 있어서,
상기 앙상블 데이터를 생성하는 과정은,
상기 입력 데이터를 상기 추론 모델과 동수의 그룹으로 중복을 허락하여 분할하는 것을 특징으로 하는 보안관제 장치의 학습방법.10. The method of claim 9,
The process of generating the ensemble data is
A learning method of a security control device, characterized in that the input data is divided into groups with the same number of groups as the inference model, allowing redundancy. 제9항에 있어서,
상기 파라미터를 업데이트하는 과정은,
상기 누적 신뢰도에 기반하는 부스팅(boosting)을 이용하여 상기 추론 모델 각각의 파라미터를 업데이트하는 것을 특징으로 하는 보안관제 장치의 학습방법.10. The method of claim 9,
The process of updating the parameters is
The learning method of the security control device, characterized in that for updating each parameter of the inference model using boosting based on the cumulative reliability. 제9항에 있어서,
상기 추론 모델 각각에 대한 학습을 종료한 후, 상기 추론 모델 별 누적 신뢰도를 비교하여 상기 추론 모델 각각의 순위를 정하고, 가장 높은 순위의 추론 모델을 선택하여 상기 보안관제 장치의 대응 방안 추론에 사용하는 것을 특징으로 하는 보안관제 장치의 학습방법. 10. The method of claim 9,
After terminating the learning of each of the inference models, the ranking of each of the inference models is determined by comparing the cumulative reliability of each inference model, and the highest ranking inference model is selected and used for inferring the countermeasure of the security control device Learning method of the security control device, characterized in that. 컴퓨터 상에 구현되는, 보안관제 장치의 보안관제 방법에 있어서,
보안위협(security threat)에 대한 탐지 이벤트(detection events)를 획득하는 과정;
상기 탐지 이벤트로부터 특징 데이터를 추출하고, 상기 특징 데이터를 구성하는 문자 또는 문자열을 수치화하여 입력 데이터로 변환하는 과정;
상기 입력 데이터를 추론 모델(inference model)에 입력하여 상기 탐지 이벤트에 대한 대응 방안을 추론하는 과정, 여기서, 상기 추론 모델은, 사전에 트레이닝된 적어도 하나의 머신 러닝(machine learning) 기반 모델을 포함하는 추론 모델 그룹으로부터 사전에 선택되고, 상기 대응 방안은 예측 확률로서, 상기 대응 방안의 실행 여부를 나타냄; 및
상기 예측 확률에 기초하여 상기 대응 방안에 대한 신뢰도를 산정하고, 상기 신뢰도에 의존하여 상기 대응 방안을 실행하는 과정
을 포함하는 것을 특징으로 하는 보안관제 장치의 보안관제 방법.In the security control method of a security control device implemented on a computer,
acquiring detection events for a security threat;
extracting feature data from the detection event and converting a character or character string constituting the feature data into input data;
The process of inputting the input data into an inference model to infer a response method for the detection event, wherein the inference model includes at least one pre-trained machine learning-based model preselected from a group of inference models, wherein the corresponding solution is a predicted probability, indicating whether the corresponding solution is to be executed; and
Calculating the reliability of the corresponding method based on the prediction probability, and executing the corresponding method depending on the reliability
A security control method of a security control device comprising a. 제14항에 있어서
규칙 DB(Database)를 참조하여, 상기 탐지 이벤트를 규칙을 기반으로 필터링을 수행하고, 상기 탐지 이벤트가 상기 규칙에 부합하면, 대응방안 DB를 참조하여 상기 탐지 이벤트에 대한 대응 방안을 실행하는 과정; 및
상기 탐지 이벤트 내의 비어 있는 데이터(missing data)를 채우고, 상기 탐지 이벤트가 포함한 오차를 정정하여 보안솔루션(security solution)에 따른 탐지 이벤트 간의 편차를 보완하는 전처리 과정
을 더 포함하는 것을 특징으로 하는 보안관제 장치의 보안관제 방법.15. The method of claim 14
referring to a rule DB (Database), performing filtering on the detection event based on a rule, and if the detection event matches the rule, executing a countermeasure for the detection event with reference to a countermeasure DB; and
A pre-processing process of compensating for deviations between detection events according to a security solution by filling in missing data in the detection event and correcting errors included in the detection event
Security control method of the security control device, characterized in that it further comprises. 제14항에 있어서,
상기 신뢰도가 기 설정된 임계치보다 낮은 경우, 상기 탐지 이벤트를 저신뢰도 이벤트로 분류하고, 상기 저신뢰도 이벤트 및 해당되는 대응 방안 라벨을 저신뢰도 이벤트 DB에 저장하는 과정; 및
상기 저신뢰도 이벤트 DB에 저장된 데이터를 기반으로, 상기 추론 모델에 대한 증분 학습(incremental learning)을 실행하는 과정
을 더 포함하는 것을 특징으로 하는 보안관제 장치의 보안관제 방법.15. The method of claim 14,
classifying the detection event as a low-reliability event when the reliability is lower than a preset threshold, and storing the low-reliability event and a corresponding countermeasure label in a low-reliability event DB; and
The process of executing incremental learning on the inference model based on the data stored in the low-reliability event DB
Security control method of the security control device, characterized in that it further comprises. 제9항 내지 제13항 중 어느 한 항에 따른 보안관제 장치의 학습방법이 포함하는 각 단계를 실행시키기 위하여 컴퓨터로 읽을 수 있는 기록매체에 저장된 컴퓨터프로그램.A computer program stored in a computer-readable recording medium to execute each step included in the learning method of the security control device according to any one of claims 9 to 13. 제14항 내지 제16항 중 어느 한 항에 따른 보안관제 장치의 보안관제 방법이 포함하는 각 단계를 실행시키기 위하여 컴퓨터로 읽을 수 있는 기록매체에 저장된 컴퓨터프로그램.A computer program stored in a computer-readable recording medium to execute each step included in the security control method of the security control device according to any one of claims 14 to 16.
KR1020190130099A 2019-10-18 2019-10-18 Method and Apparatus for Security Management Based on Machine Learning KR102354094B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190130099A KR102354094B1 (en) 2019-10-18 2019-10-18 Method and Apparatus for Security Management Based on Machine Learning

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190130099A KR102354094B1 (en) 2019-10-18 2019-10-18 Method and Apparatus for Security Management Based on Machine Learning

Publications (2)

Publication Number Publication Date
KR20210046423A KR20210046423A (en) 2021-04-28
KR102354094B1 true KR102354094B1 (en) 2022-01-20

Family

ID=75721003

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190130099A KR102354094B1 (en) 2019-10-18 2019-10-18 Method and Apparatus for Security Management Based on Machine Learning

Country Status (1)

Country Link
KR (1) KR102354094B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102374127B1 (en) 2021-12-06 2022-03-14 주식회사 이글루시큐리티 Method and apparatus for modeling web application firewalls based on artificial intelligence
KR20240003616A (en) * 2022-07-01 2024-01-09 주식회사 안랩 Action scan service system and control method for action scan service

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018077597A (en) * 2016-11-08 2018-05-17 株式会社日立製作所 Security measure planning support system and method
KR101951208B1 (en) * 2018-09-28 2019-02-25 주식회사 루터스시스템 A firewall system for monitoring network traffic by using firewall agent

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102047782B1 (en) 2017-01-04 2019-11-22 한국전자통신연구원 Method and apparatus for recognizing cyber threats using correlational analytics
KR102100204B1 (en) * 2017-10-31 2020-04-13 삼성에스디에스 주식회사 Method for classifying based on machine-learning and Apparatus thereof
KR102221492B1 (en) * 2017-12-13 2021-03-02 주식회사 마이더스에이아이 System and method for automatically verifying security events based on text mining

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018077597A (en) * 2016-11-08 2018-05-17 株式会社日立製作所 Security measure planning support system and method
KR101951208B1 (en) * 2018-09-28 2019-02-25 주식회사 루터스시스템 A firewall system for monitoring network traffic by using firewall agent

Also Published As

Publication number Publication date
KR20210046423A (en) 2021-04-28

Similar Documents

Publication Publication Date Title
EP3574430B1 (en) Continuous learning for intrusion detection
US10785241B2 (en) URL attack detection method and apparatus, and electronic device
US11425148B2 (en) Identifying malicious network devices
US10785244B2 (en) Anomaly detection method, learning method, anomaly detection device, and learning device
US20160226893A1 (en) Methods for optimizing an automated determination in real-time of a risk rating of cyber-attack and devices thereof
CN113486334A (en) Network attack prediction method and device, electronic equipment and storage medium
CN112242984B (en) Method, electronic device and computer program product for detecting abnormal network request
US11425017B2 (en) Systems and methods for utilizing a neural network model to perform packet capture data analysis
CN107241296A (en) A kind of Webshell detection method and device
KR102354094B1 (en) Method and Apparatus for Security Management Based on Machine Learning
US9860109B2 (en) Automatic alert generation
CN114338064B (en) Method, device, system, equipment and storage medium for identifying network traffic type
KR20190028880A (en) Method and appratus for generating machine learning data for botnet detection system
CN110874638B (en) Behavior analysis-oriented meta-knowledge federation method, device, electronic equipment and system
TWI703846B (en) URL abnormal location method, device, server and storage medium
JP6707952B2 (en) Control device, control method and program
US20230156034A1 (en) Real-time threat detection for encrypted communications
CN115208938B (en) User behavior control method and device and computer readable storage medium
KR102295948B1 (en) System and method for security management based artificial intelligence using federated learning
CN109902831B (en) Service decision processing method and device
CN118427671B (en) Deep learning-based server security risk identification method and system
CN118337413A (en) Method and system for detecting network flow abnormality of distributed equipment
GB2624712A (en) Monitoring system
WO2024165439A1 (en) Monitoring system and method
CN118337409A (en) Network detection method, device, equipment and storage medium

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant